Der Fahrradleasing-Anbieter Jobrad hat alle seine Kunden über einen Sicherheitsvorfall informiert, bei dem auch Kundendaten abgeflossen sind. Nicht nur die Daten der angeschlossenen Unternehmen, sondern auch die der Endkunden wurden von Angreifern kopiert und kursieren nun im Darknet. Ursächlich für das Datenleck ist offenbar ein Ransomware-Angriff bei der Einhaus-Gruppe, einem nachgeordneten Dienstleister des Freiburger Unternehmens.

Persönliche Daten abgeflossen

In einer E-Mail an Betroffene, die heise Security vorliegt, drückt die JobRad-Geschäftsführung allen Betroffenen ihr Bedauern aus und gibt detaillierte Auskunft über die betroffenen Daten. So wurden die Stammdaten (Name, Anschrift, E-Mail-Adresse, Telefonnummer) sowie Vertragsdaten der Endkunden, also der Nutzer der E-Bikes kopiert. Passwörter und Bankdaten von Kunden sollen nicht kopiert worden sein. Wie aus dem Statement hervorgeht, könnten aber Zugangsdaten von betrieblichen Ansprechpartnern und Bankdaten von Arbeitgebern vom Leak betroffen sein.

Der Angriff fand offenbar um den 17. März 2023 statt und beschränkte sich auf die Systeme der Einhaus-Gruppe. Die IT-Infrastruktur der JobRad GmbH sei - so der aktuelle Stand der Erkenntnisse - nicht betroffen. Lediglich das "Ratenschutzportal", das nicht durch JobRad selbst, sondern durch die Einhaus-Gruppe betrieben wird, ist derzeit offline und wird es wohl auch vorerst bleiben.

Phishing-Gefahr

Wie für einen Ransomware-Angriff üblich kursieren die abgegriffenen Daten nun offenbar im Darknet und werden dort zum Kauf angeboten. Das ist für die Betroffenen nicht nur ärgerlich, sondern auch gefährlich: Weil die Cybergangster über umfangreiche Kontaktdaten verfügen, können sie maßgeschneiderte Phishing- oder Smishing-Kampagnen starten und allen Jobrad-Firmenkunden etwa betrügerische Lastschriften unterschieben. Wer ein Fahrrad über seinen Arbeitgeber und den Anbieter JobRad geleast hat, sollte in den nächsten Wochen und Monaten also besondere Vorsicht walten lassen.

(cku)